零信任SASE-安全体系与支撑基座的融合建设实践(一)
嘉宾信息
罗兴峰 杭州数云信息化与安全资深总监
零信任SASE-安全体系与支撑基座的融合建设实践(一)
内容介绍
一、 面临的挑战
二、 SASE网络接入架构
三、 关于生态协作中不同身份如何管理
四、 通过SASE和SSO的贯通安全运营全链路
五、 常态化的开展安全运营工作
六、 针对不同的安全风险环节,实现安全运营的融合
七、 改变SAS让端点安全和企业流程实现全融合
非常高兴今天能有机会在这里跟大家一起分享一下,云的落地事践的一个专题,在我们云里面,实际上它是一个蛮关键的一个方案,实现了安全体系和支撑机在我们企业里面融合建设的很好的一个方案。
在今天的分享里面,我会大致的尽可能的把这样的一个过程跟大家进行一个分享,也是企业里面在这里面做建设的时候写市场,可能会有不足的地方,也非常欢迎大家共同来交流,在分享之前,我要大致说一下,数学的事实际上是做什么,这个可能跟我们来分享,这个在里面是有关系的,因为数云实际上是做电商行业,做营销的一个解决方案问题,我们实际上在运营的过程中,会深度的跟客户的一些数据领域进行融合,所以数据安全对数源来说,它已经成了业务发展的需要,所以我们在这个数据掘建设里面其实比较早就开始了相关的管理体系的一个研究,但是在最初期的时候,数学是没有什么经验的,实际上是借着体系来做研究和探索,有很多安全的产品,有很多安全的管理办法,但是用什么来做?实际上是我们一直在前行的过程中去去思考的一个问题,并不是说可能我们一开始上了很多安全的产品,上了很多安全的方案,就不安全了,实际上我们要解决,是我们到底在什么地方来做这个数据安全的建设才是有价值的一个点,所以后来我们比较多的去借助安全管理体系以及安全管理体系的一个方式,去研究到底怎么做。
实际上,我们在这里还去研究了一个安全点,但27001的点实际上给我们很大的启发,业务的安全,理解业务的安全实际上是非常关键的一个点,所以我们后来点都在围绕着这个点去进行解决了,大概是这样的一个思考。
今天我们大概分享的点实际上就是我们的业务面临的一些挑战,业务发展的一些安全的需要,以及落地的时候建设的方案,我们带来的一些改变,大概是这次方向的内容,
一、面临的挑战
我们实际上最开始的时候,做一家公司,最开始业务非常的简单,但是,如果在发展,你在不断的去做业务拓宽的时候,你会发现,你的业务的模式和业务的体量都会不断的变大,如果很小的时候,其实我们的是蛮好做的,因为整个业务就一点点的,我只要把这些点的控制点管住,其实安全基本上没有太大的问题,但是公司是要发展它不可能说在我做的一个非常严密的这个整个安全的这个体检设以后我们就不用了,其实公司可能它是没有任何的起色的,如果果要变大,要做客户的业务越来越多的话,你就必须要有多样性的安全的点,那这个是业务的发展会给安全带来很大的经验,业务开展的时候,实际上是有一个弹性的,比如说这几年疫情或者是业务的这个高峰期和第五期不断的波动的时候,它实际上是需要公司的整个人员资源具有弹性能力的,弹性能力是什么样的情况,云资源比较简单,可能就是机器的买和卖实现自动化的点,但是人的资源,它实际上的弹性能力,怎样才能做?我们管理和培训这是一方面的一个点,但是安全的点,新的人进来,能不能安全的去工作,能不能保证他不带相应的敏感核心数据?业务看需要人员的资源的,产行能力就成了一个企业发展的一个很重要的点,安全团队马上就会面临,我的人能不能大量的进,能不能大量的出?你安全团队有没有什么办法?安全的方案?
随着不同使用的资源出现以后,我们会有很多的不同身份的人去合作,那身份你能不能识别?因为不同人参与的业务的力度不一样,你能识别出来,你就可以去做相应的权限,你识别不出来,所有的整个配置策略都是基于机器,都是基于ip,那你怎么办?因为它不具备身份属性的时候,你的权限实际上是非常粗糙的,虽然可能从技术层面可以很细到id到端口,但是这个ip的端口是哪个人实际上经常是会发生变化的。这就是我们面临的的安全挑战,如果我们不能解决身份识别的问题的话,一切安全的手段其实没有办法在最后的端点去落地,实际上就需要在这个整个业务的发展的过程中,那么我们实际要业务范围的变化,就开始对安全提出要求了,比如说我们也有两个产品线,那这两个产品线面对的客户和面对的数据的敏感级别,按外部的安全的解释实际上是完全不同的,我们实际上希望能够全面的接入,可以被被这个身份识别,可以对安全主入机械进行考验,又不希望打乱包括我们日常的这工作和办公流程的情况下我们怎么去干?我们的身份员在哪里?因为我会有,很多的账号有很多的id,有很多的不同的人会进入到我的整个作业平台里面,那我的身份员到底在哪里,就对我们提出了很多的这基础要求,于是我们开始在这个过程中去思考,那我们怎么办?我们实际上发现,我们实际上最开始的时候是我无法知道我的任何的一个账号,或者任何一个的接入端到底是谁,所以我们后来发现,身份和接入这两个元素对我们的整个安全地下来说,基本上属于基础,如果我们没有上层,所有安全管理和安全的流程都是空谈,这就是使得我们导不到这样的方案,我可能只能是空对空的去谈安全建设,那我们作为一个发展的一个公司来说,其实我们的整个安全投入或者安全机限,就没有办法跟很大型的平台去pk,我们没有办法去一下子去投入很大量的安全团队,去建设和开发我们自己的这个身份和接入的能力。
我们一直在寻找,其实寻找的时间实际上蛮长的,大概可能有有两到三年的时间,其际上都在不断的尝试寻找这个可以融合的方案,在过程中,其实我们发现年轻人其实是蛮适合我们场景的,因为我们的整个开放环境,因为所有的员工,所有的这个身份,他可能是都在经常在外出办公的,它实际上很少会在办公室区间和开放中心传统领域里面,可能办公区域固定,在网段固定的网络的环境里面,来做这个环境用,但我们人员是经常在外办工的,经常在和客户的项目现场一起去进行办公,那零线人的身份和零线的种模型很合适的方式,我们第一阶段其实就在寻找多端融合的vpn,杀毒以及数据缓泄漏的一种统一的,融合的一种环境,因为一旦到复杂的网络环境,这些所有的问题其实都要解决,如果你解决不了,你其实会有很多很多的破绽,还有很多无法监督的安全的点,我们第一阶段实际上就觉得最重要的,这样实现身份的识别,第二阶段实际上是针对有了这个东西以后我能够识别成以后,我的权限健全模型和流程怎么来办?因为有了技术,以后您在企业里面去落地,这个实际上是蛮考验整个安全建设的能力的,我们有安全产品,但是,如果在企业落地时候,没有办法去落地,针对你业务发展的需要,去设计你的融合性方法的话,其实是没办法的,他这个阶段可能更多的是数理权限模型和这个流程的融合,就是你的流程怎么样把安全的方案融进去,那这个时候实际上是蛮考验的;第二阶段,第三阶段实际上就是开始要跟踪你的安全流程和细化你的安全方案,为什么实际上很多新流程和新权限进去以后,一个月,两个月的时候,可能有些问题暴露了,但是有些问题其实暴露出来,而且你的业务是在不断的新增的,你是在不断的在发展的,你其实一开始是一个开放性的,一个策略,在这个时候,你要跟踪你的新的安全流程,你在真实企业里面去跑的时候,会发生什么?有的时候,实际上如果你能在端点去识别它的话,你会发现新资源,这个实际上是蛮有意思的一个点,真的方案和生长型的,企业的流程,他会让企业的安全能力越来越强的,一开始会有很多问题,我相信任何的一个新系统或者新的流程都会有很多问题,但是,只要你的生长模型是ok的,它实际上是可以不断的,不断的越来越完善,所以不怕问题,只要你能够知道问题在哪里开始萌芽,这个时候你的发现的速度或者发现点是快于你的对手的,比如说,可能攻击我们的人,或者是挖我们的人,如果你能比他快,你就有时间去改进,这是安全基于点,你持续化的运营管理你的数据防泄漏点,这个是长久过日子的一个阶段,我们目前也在处在这个阶段去不断的去生长这一个点,这是可能一个过程,我们基本上有的时候这几个阶段是反复的来回来回切换的,但是大差不大,都会去做工作,简单的说一下这就是可能性。
二、SASE网络接入架构
可能年轻人的一个接入的网络架构,其实没有太多的特别,我相信做过技术的同学看图其实蛮容易的,你在企业里面就大概都是这种模式,它逃不出来模式的整体框架,那可能我的网关是在中心,我的各个的角色,员工办公点,设备,分别去接入泡布点的方式,再连接你各个这个idc,云资源,各个目项的机房,你的各种的云的区域,这些只要能够从各个地方方便的接入,又通过这个网关能够去连接到各个这个公点,就可以给你带来极大的便利,其实有个好处,就是比传统的方式更稳定,因为你的高点的连接方式,你的稳定度是由整个这个接入网络去帮解决的,而你自己的员工或者自己的端,从你的这个究竟的抛点接入这个其实是非常稳定的,我们验证下来,也比我们原来的vpn的要稳定很多,一开始可能大家会碰到可能配置策略,或者是实施落地的问题,一旦你解决了以后,基本上不会有人带来再来去给你报问题,那实际上它落地下去以后,就可以比较好的在企里面运转,而实际上模型它是开放的,你可以再增加新的idc,又可以增加新的区域,它可以不断的去生长,这里面实际上就是一个概括,那企业里面的模型,其实它是不断的生长的。
在这里面,实际上网络里面给了我们方案,里面给了我们几大方向上的能力,在那后面,我们的点其实是极大的用到了这些方向的能力,比如说第一个能力可能就是第一大块,可能在这个里面的第一大块角,它是连接着跌入身份的线,因为你的身份可以识别,以后,他就可以完成安全检查,可以让这个授权的人实现连接,如果是不是授信的人的话,实际上就连接不上了,基本上就是连接的,第二层面可能就是数据的敏感,数据的一个点,比如说拦截审计数字,这是在数据保护的点。第三层面实际上是可能外usb敏感的文件的数,这个其实是在传统的那种桌面的控软件里,其实还是蛮多的,但是传统的软件呢?它其实是把它当做单独的一个软件来做百度管控,这个在体系里面其实蛮介意的,就是外色的连接或者是点,因为这些点比较容易成为这个突入口,在这里面其实把这个也融进去了,因为你可以把它作为安全机械的一点来做,如果不符合要求,比如说你设计的一点,安全机象法不通过,通过就无法连入到网络里面,他有一个很好的抓手,敏感数据的识别和wifi,比如说个人数据超过20条的手机号,超过多少条的地址,超过多少条的用户的名,那这是定位成敏感的,以及一些特别的一些通道控制,那这些东西其实全是抓手,如果你没有这个抓手的话,你的任何的安全网控都没有办法去实现,你看上去好像很普通,或者很常见,但如果你没有这手,你很多管理的策略只能通过通知公告和安全的要求去做,真正的黑产的人,他听不听你的呢,也许听也许不听,你只能把它变成可以用的一种手段,融合到你的按全流程里面去,那后面我其实我们做的就比较多。